Suas aplicações são seguras?

Conheça a Conviso!

As 3 falhas de segurança mais comuns nos softwares

Priorizar a segurança em todas as fases do desenvolvimento de um software, especialmente no início, é comprovadamente mais barato do que corrigir possíveis falhas depois que a arquitetura está pronta.

Engajado na busca de soluções para as falhas que ameaçam a segurança dos softwares, o Instituto SANS de Informação sobre segurança, Redes, Computação, Auditoria e Sistemas Administrativos, apresenta sua célebre lista dos 25 erros de programação que podem levar às inúmeras falhas de segurança de softwares.

Baseados nesta lista, separamos três das falhas mais frequentes no quesito segurança. Veja quais são.

Falhas de Autorização

Listadas pela SANS como uma das falhas frequentes, as falhas de autorização são erros críticos que permitem o acesso e intervenção de usuários não autorizados a dados e funcionalidades restritas. É o caso de empresas que possuem um sistema com especificações de acesso por grupo de funcionários, sendo que cada grupo possui permissão para acessar determinados dados. Quando essa autorização é falha e permite que áreas restritas sejam acessadas por grupos não autorizados, temos um legítimo erro de autorização.

Ainda que esse acesso indevido não constitua um problema em primeira instância, já que estamos tratando de usuários internos, essa falha demonstra um alto potencial de vulnerabilidade do software a possíveis ataques. Para exemplificar as consequências desse tipo de falha, a SANS lembra o caso do ataque ao banco Citigroup, em 2011, quando hackers acessaram detalhes de mais de três mil contas bancárias, que resultou em um rombo de 2,7 milhões de dólares para o grupo.

Falhas de criptografia

O uso da criptografia para a proteção de dados sensíveis (dados pessoais, como endereço, CPF, telefone e outros) é prática comum entre os programadores. Quando fazemos uma transação bancária pela internet, por exemplo, sabemos que os dados inseridos serão criptografados se observarmos o desenho de um pequeno cadeado ao lado do campo a ser preenchido com os dados.

A criptografia possibilita uma disposição ilegível das informações sensíveis, de forma que sua leitura seja dificultada para invasores. Porém, o uso de um esquema criptográfico falho, amador, pode facilitar ataques de usuários mal-intencionados colocando em risco bancos de dados altamente confidenciais. A transmissão de informações relevantes em textos não criptografados é outra falha comum que põe em risco dados sensíveis.

A internet não está livre de brechas criptográficas. O Heartbleed, apelido dado para falha no método criptográfico OpenSSL, apontou para a insegurança de dados  inseridos em sites como Twitter, Facebook, Instagram e no próprio Google. Se até os gigantes da web estão sujeitos à esse tipo de falhas, que dirá os softwares privados e empresariais.

Buffer Overflow

Buffers são áreas destinadas à memória do software ou aplicação. Geralmente, possuem um limite, e quando ocorre uma tentativa de armazenamento de dados  além dos limites do Buffer, acontece o que chamamos de “estouro”, ou Buffer Overflow. O envio proposital de dados em excesso pode causar esse estouro fazendo com que o software se comporte de maneira instável e inesperada.
Para prevenir esse tipo de falha é preciso assegurar que o sistema faça as validações adequadas. E, apesar de já existirem técnicas de prevenção para esse tipo de erro, ele ainda é apontado como comum e preocupante.

Os softwares da sua empresa já tiveram esses problemas? Eles estão preparados para enfrentá-los? Deixe seu comentário.

Originalmente postado no Blog da Conviso Application Security – Siga-nos no Twitter @conviso Google+

Tags

Deixe um comentário

topo
%d blogueiros gostam disto: